Le recordaría que un ataque de envenenamiento ARP funciona en la capa 2 OSI, mientras que HTTPS funciona en la capa 5.
O bien, para plantear mejor su problema, su duda parece ser si alguien que escucha la conversación o realiza un ataque MitM (hombre en el medio) puede comprometer la seguridad de una conversación SSL sin que el usuario se dé cuenta.
El ataque de envenenamiento ARP solo altera la ruta predeterminada de los paquetes salientes, ya que las máquinas de ataque envenenan las tablas ARP de las víctimas como posturas como enrutador.
Las tecnologías SSL complican el proxy, pero la hazaña no es imposible. De hecho, algunos productos de seguridad / firewalls corporativos implementan tecnología que básicamente son ataques MitM para poder escuchar diálogos HTTPS y detectar malware.
Para establecer un ataque / proxy MitM exitoso a una sesión protegida por X.509:
. el usuario debe ser lo suficientemente inculto para aceptar un certificado incorrecto;
. o tienes que engañar al navegador del usuario porque el certificado es legítimo.
Para ese efecto, o bien busca la colisión HASH en protocolos más antiguos (es decir, es la forma en que se eliminan los certificados SHA-1), o instala un certificado raíz propio en la computadora de la víctima.
En una configuración corporativa, normalmente el AD propaga un certificado raíz para ese efecto. Algunos programas maliciosos son conocidos también por emplear estas técnicas, y al menos un proveedor de hardware y una compañía de AV fueron interrogados por la opinión pública para hacer esto, el primero en poder insertar anuncios en sus páginas, el último para detectar virus en el SO nivel sin utilizar complementos dedicados para el navegador.
Kazajstán llegó a un nivel completamente nuevo y está realizando ataques MitM a nivel de país, a través de una CA raíz obligatoria que debe instalarse en cualquier dispositivo mediante una conexión de telecomunicaciones nacional:
enlace
enlace
Esta técnica en particular genera un certificado válido sobre la marcha para las solicitudes de HTTPS que intercepta, que tiene como raíz la CA RAÍZ instalada en la víctima.
Tienes un hilo slashdot hablando de la técnica aquí:
enlace
Un artículo de Sophos que explica cómo funciona el ataque SuperFish en el malware de Lenovo:
enlace
También puedes hacerlo en un sistema Unix:
enlace
SSLsplit admite conexiones TCP simples, SSL simples, HTTP y HTTPS
sobre IPv4 y IPv6. Para conexiones SSL y HTTPS, SSLsplit
genera y firma certificados forjados X509v3 sobre la marcha, basados en
el DN original del sujeto del certificado del servidor y subjectAltName
extensión.
Evidentemente, mientras que HTTPS es mejor que nada, no es perfecto.
Es mucho más seguro usar VPN cuando se usa Internet en entornos más hostiles, y especialmente en puntos de acceso wifi gratuitos.
Como dato interesante, la aplicación de la ley tiene estaciones de intercepción obligatorias en los principales ISP, con software / interfaces que implementan estos ataques MitM y pueden inyectar ejecutables dañados o actualizaciones falsas del sistema operativo para tomar el control de una computadora víctima, según lo documenta el Manuales de administración / sistema / operadores que fueron filtrados por Snowden o Assange (no puedo recordar)
Enlace al artículo y filtración de manuales en formato PDF
enlace
También, de vez en cuando, verá que los registradores emitirán certificados conocidos como google.com por "error", "pruebas de aprendices" o porque son pirateados. La controversia es que esto socava aún más la seguridad y la confianza de SSL, y no me sorprendería si algunos de esos errores son para ayudar a sus propias fuerzas de seguridad / inteligencia / aplicación de la ley a fisgonear a alguien, por ejemplo, usar google.